8 kwietnia 2026 r. Minister Cyfryzacji opublikował harmonogram działań wynikających z nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Dokument precyzuje terminy dla podmiotów, które mogą zostać uznane za jednostki kluczowe lub ważne.
Z tego artykułu dowiesz się…
- Jakie podmioty ochrony zdrowia obejmuje harmonogram KSC.
- Jakie są terminy składania wniosków do systemu S46.
- Kiedy zaczyna się obowiązek korzystania z systemu S46.
- Jakie działania przygotowawcze należy podjąć w 2026 r.
Kogo obejmują nowe obowiązki?
Harmonogram dotyczy tych podmiotów, które w momencie wejścia w życie ustawy z 23 stycznia 2026 r. spełniają kryteria uznania za podmiot kluczowy lub ważny, ale nie zostały automatycznie wpisane do odpowiedniego wykazu.
Nie obejmuje on jednostek wpisanych z urzędu, takich jak przedsiębiorcy komunikacji elektronicznej czy część podmiotów publicznych. W przypadku placówek ochrony zdrowia oznacza to konieczność samodzielnej identyfikacji i podjęcia działań formalnych.
Wnioski o wpis do wykazu – kluczowe daty
Proces składania wniosków o wpis do wykazu podmiotów kluczowych i ważnych został ograniczony do konkretnego przedziału czasowego.
Wnioski można składać za pośrednictwem systemu S46 od 7 maja do 3 października 2026 r. W tym czasie podmioty powinny:
- potwierdzić, czy spełniają kryteria ustawowe,
- przygotować wymagane dane i dokumentację,
- złożyć wniosek o formalny wpis do wykazu.
Uzyskanie wpisu jest warunkiem rozpoczęcia realizacji dalszych obowiązków wynikających z ustawy – zarówno sprawozdawczych, jak i organizacyjnych czy technicznych.
System S46 – obowiązek wdrożenia
Nowelizacja KSC wprowadza obowiązek korzystania z systemu teleinformatycznego S46, który będzie kluczowym narzędziem komunikacji i raportowania.
Terminy rozpoczęcia korzystania z systemu są zróżnicowane:
- od 8 kwietnia 2026 r. – dla podmiotów, które wcześniej zawarły porozumienie,
- od 12 czerwca 2026 r. – dla pozostałych jednostek objętych obowiązkiem.
Ostateczny termin pełnego wdrożenia systemu S46 został wyznaczony na 3 kwietnia 2027 r.
Co powinny zrobić placówki medyczne już teraz?
Dla podmiotów ochrony zdrowia obecny etap oznacza konieczność przejścia od analizy przepisów do konkretnych działań organizacyjnych. W pierwszej kolejności warto ustalić, czy dana jednostka spełnia kryteria podmiotu kluczowego lub ważnego. Pomocne może być narzędzie samooceny przygotowane przez CSIRT CeZ.
Kolejne kroki obejmują:
- analizę obowiązków wynikających z nowelizacji KSC,
- ocenę poziomu cyberbezpieczeństwa organizacji,
- przygotowanie procedur i zasobów do obsługi systemu S46.
Wsparcie ze strony CSIRT CeZ
CSIRT CeZ prowadzi działania wspierające podmioty objęte KSC. Obejmują one m.in. materiały edukacyjne, działania informacyjne oraz narzędzia do samooceny.
Udostępniona ankieta pozwala określić poziom przygotowania organizacji, wskazać potencjalne luki oraz zaplanować dalsze działania dostosowawcze – zarówno techniczne, jak i organizacyjne.
Główne wnioski
- Wnioski o wpis do wykazu można składać od 7 maja do 3 października 2026 r. przez system S46.
- Obowiązek korzystania z systemu S46 zaczyna się od 8 kwietnia lub 12 czerwca 2026 r., zależnie od statusu podmiotu.
- Pełne wdrożenie systemu S46 musi nastąpić najpóźniej do 3 kwietnia 2027 r.
- Podmioty medyczne muszą samodzielnie potwierdzić status i przygotować organizację do nowych obowiązków.
Źródło:
- https://www.cez.gov.pl/pl/page/o-nas/aktualnosci/nowe-terminy-w-ksc-harmonogram
